Il test di penetrazione ha più vantaggi di quanto pensi

dito puntato sullo schermo virtuale
Wright Studio/Shutterstock.com

I test di penetrazione misurano l’efficacia delle tue misure difensive di sicurezza informatica. E ricorda, la loro efficacia cambia nel tempo, quindi ripeti se necessario. Non c’è niente da dimenticare nel mondo della sicurezza informatica.

La vulnerabilità a tutto tondo

Tutto il software non banale ha dei bug. E c’è software ovunque guardi sulla tua rete, quindi la triste verità è che la tua rete è piena di bug. Non tutti questi bug si tradurranno in una vulnerabilità, ma alcuni lo faranno. E se solo una di queste vulnerabilità viene sfruttata dagli attori delle minacce, la tua rete è compromessa.

I sistemi operativi, le applicazioni software e il firmware del dispositivo sono tutte forme di software. È ovvio che i server e gli endpoint di rete eseguiranno sistemi operativi e applicazioni. Gli elementi che vengono spesso trascurati sono altri dispositivi di rete come firewall, router, punti di accesso wireless e switch. Questi contengono almeno un firmware e spesso anche un sistema operativo integrato. Anche altri dispositivi, come i dispositivi Internet of Things e altri dispositivi intelligenti, dispongono di firmware, un sistema operativo integrato e alcuni codici applicativi.

Quando vengono scoperte vulnerabilità, i provider responsabili rilasciano patch di sicurezza. Questi contengono correzioni di bug per i bug noti, che chiudono il conosciuto vulnerabilità. Ma questo, senza un colpo di fortuna, non farà nulla per rimediare a nessuno sconosciuto vulnerabilità.

Supponiamo che un pezzo di software abbia tre vulnerabilità. Due di loro vengono scoperti e viene rilasciata una patch di sicurezza per risolverli. La terza vulnerabilità, non ancora scoperta, è ancora nel software. Prima o poi, quella vulnerabilità verrà scoperta. Se viene scoperto dai criminali informatici, possono sfruttare tale vulnerabilità in tutti i sistemi che eseguono quella versione del software fino al rilascio di una patch da parte del produttore e gli utenti finali applicano quella patch.

Ironia della sorte, nuove vulnerabilità possono essere introdotte da patch, aggiornamenti e upgrade. E non tutte le vulnerabilità sono dovute a bug. Alcuni sono dovuti a decisioni di progettazione terribili, come le telecamere CCTV abilitate per il Wi-Fi IoT che non consentivano agli utenti di modificare la password dell’amministratore. Quindi è impossibile dire che i tuoi sistemi sono privi di vulnerabilità. Ma ciò non significa che non dovresti fare il possibile per assicurarti che siano liberi da vulnerabilità note.

Test di penetrazione e test di vulnerabilità

Un test di penetrazione è in realtà una vasta suite di test progettati per valutare la sicurezza delle tue risorse IT rivolte all’esterno. Il software specializzato viene utilizzato per identificare metodicamente eventuali vulnerabilità sfruttabili. Lo fa eseguendo numerosi attacchi benigni alle tue difese. Un’esecuzione di test può includere centinaia di diversi test pianificati.

Il test delle vulnerabilità è un tipo di scansione simile, ma viene eseguito all’interno della rete. Cerca lo stesso tipo di vulnerabilità dei test di penetrazione e verifica che le versioni del sistema operativo siano aggiornate e ancora supportate dal produttore. Il test delle vulnerabilità identifica le vulnerabilità che un attore di minacce o un malware potrebbe sfruttare se uno dei due ha avuto accesso alla rete.

I report generati da questi test possono essere travolgenti a prima vista. Ogni vulnerabilità è descritta e la loro Vulnerabilità ed esposizioni comuni il numero è dato. Questo può essere usato per cercare la vulnerabilità in uno degli indici di vulnerabilità online. Anche reti modeste possono generare report che si estendono su molte decine di pagine. Per le reti di medie dimensioni, i report possono essere misurati in centinaia di pagine.

Per fortuna, le vulnerabilità sono classificate in base alla loro gravità. Ovviamente, è necessario affrontare prima le vulnerabilità con priorità più alta, ovvero le vulnerabilità più gravi, quindi le seconde priorità e così via. Le vulnerabilità di livello più basso sono tecnicamente vulnerabilità ma hanno un rischio così basso da essere considerate più un avviso che un elemento obbligatorio da correggere.

A volte, la correzione di una vulnerabilità eliminerà intere fasce di problemi. Un certificato TLS/SSL scaduto o autofirmato può generare un lungo elenco di vulnerabilità. Ma correggere quell’unico problema risolverà tutte le vulnerabilità correlate in un colpo solo.

RELAZIONATO: In che modo i certificati SSL proteggono il Web?

I vantaggi dei test di penetrazione

Il vantaggio più importante che fornisce un test di penetrazione è la conoscenza. Il report consente di comprendere e correggere le vulnerabilità note presenti nelle risorse IT, nella rete e nei siti Web. L’elenco delle priorità ti dice chiaramente quali vulnerabilità affrontare immediatamente, quali affrontare dopo e così via. Assicura che i tuoi sforzi siano sempre diretti alle vulnerabilità rimanenti più gravi. Sicuramente identificherà i rischi che non sapevi di avere, ma ti mostrerà anche, sebbene attraverso prove negative, le aree che sono già strettamente protette.

Alcuni software di test di penetrazione possono identificare vulnerabilità dovute a problemi di configurazione errata o scarsa igiene della sicurezza informatica, come regole del firewall in conflitto o password predefinite. Si tratta di correzioni facili, veloci ea basso costo che migliorano immediatamente la tua postura informatica.

Tutto ciò che migliora l’efficacia della tua sicurezza informatica protegge i tuoi dati più sensibili e lavora a favore della tua continuità aziendale. E, naturalmente, prevenire le violazioni e altri incidenti di sicurezza aiuta anche a evitare multe o azioni legali per la protezione dei dati da parte degli interessati.

Sapere dove erano i tuoi punti deboli, e quali erano, può aiutarti a pianificare e costruire una road map per la tua strategia difensiva. Ciò ti consente di pianificare e dare priorità alle spese per la sicurezza. Ti consente inoltre di individuare buchi nelle procedure della tua politica o nelle aree in cui non vengono rispettati.

Se la tua strategia di patch viene rispettata, le patch di sicurezza e le correzioni di bug dovrebbero essere applicate in modo tempestivo una volta che sono state rilasciate dal produttore. Mantenere tale disciplina eviterà che i sistemi operativi, le applicazioni e il firmware restino indietro.

Se la tua organizzazione opera secondo uno standard come PCI-DSS (Payment Card Industry Data Security Standard) o ISO/EUC 27001, il test di penetrazione sarà probabilmente un passaggio obbligatorio per la conformità. I fornitori di assicurazioni di responsabilità informatica potrebbero richiederti di condurre una penetrazione prima di offrirti una polizza, oppure potrebbero offrire un premio ridotto se esegui regolarmente test di penetrazione.

Sempre più clienti potenziali ed esistenti chiedono di vedere i risultati di un recente rapporto di test di penetrazione come parte della loro due diligence. Un potenziale cliente deve convincersi che prendi sul serio la sicurezza prima di poterti affidare i suoi dati. I clienti esistenti devono anche accertarsi che i loro attuali fornitori stiano adottando le necessarie precauzioni di sicurezza informatica per evitare di subire un attacco alla catena di approvvigionamento.

Non è una cosa di una volta

Non vorrai che i risultati del tuo primo test di penetrazione escano dalla tua organizzazione. Fai il tuo primo ciclo di test, esegui il lavoro correttivo e poi riprova. Quella seconda serie di test dovrebbe fornire la tua linea di base di lavoro e una serie di risultati che saresti disposto a condividere con parti esterne.

La penetrazione deve essere ripetuta almeno una volta all’anno. Un ciclo di sei mesi è adatto alla maggior parte delle organizzazioni.